Packet Tracer - Configure and Verify a Site-to-Site IPsec VPN Using CLI

玥轩_5212024-01-30 11:46

Packet Tracer - 使用命令行界面配置和验证站点到站点IPsec VPN

地址表

目标

  • 验证整个网络的连通性。

  • 配置R1以支持与R3之间的站点到站点IPsec VPN。

背景/场景

网络拓扑图显示了三个路由器。您的任务是配置R1和R3,以便在各自局域网(LAN)之间的流量流动时支持站点到站点的IPsec VPN。IPsec VPN隧道从R1经由R2到达R3。R2充当通过设备,并不了解VPN的存在。IPsec提供了一种在不受保护的网络(如互联网)上安全传输敏感信息的方法。IPsec在网络层运行,负责保护并验证参与IPsec设备(对等体)之间的IP数据包,例如Cisco路由器。

ISAKMP阶段1策略参数

注意:加粗参数为默认值。只有非加粗参数需要明确配置。

IPsec阶段2策略参数

路由器已预先配置以下内容:

· 控制台线路密码:ciscoconpa55

· vty线路密码:ciscovtypa55

· 启用密码:ciscoenpa55

· SSH用户名和密码:SSHadmin / ciscosshpa55

· OSPF进程号101

第一部分:在R1上配置IPsec参数

步骤1:测试连通性。

从PC-A向PC-C发送ping请求。

步骤2:启用安全技术包。

a. 在R1上执行show version命令查看安全技术包许可证信息。

b. 如果未启用安全技术包,请使用以下命令启用该包。

R1(config)# license boot module c1900 technology-package securityk9

c. 接受最终用户许可协议。

d. 保存运行配置并重新加载路由器以启用安全许可证。

e. 使用show version命令验证是否已启用安全技术包。

步骤3:在R1上识别感兴趣流量。

配置ACL 110,将来自R1 LAN到R3 LAN的流量标识为"感兴趣"流量。当R1和R3之间的LAN之间存在流量时,这种感兴趣的流量会触发实施IPsec VPN。除了这些流量外,所有其他源自LAN的流量都不会被加密。由于存在隐式拒绝所有规则,因此无需配置deny ip any any语句。

R1(config)# access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

步骤4:在R1上配置IKE阶段1 ISAKMP策略。

在R1上配置crypto ISAKMP策略10 属性以及共享的crypto密钥vpnpa55。请参考ISAKMP阶段1表中特定的参数进行配置。默认值不需要配置,因此只需要配置加密方法、密钥交换方法和DH方法。

注:当前Packet Tracer支持的最大DH组是组5。在生产网络中,您至少应配置DH 14。

R1(config)# crypto isakmp policy 10

R1(config-isakmp)# encryption aes 256

R1(config-isakmp)# authentication pre-share

R1(config-isakmp)# group 5

R1(config-isakmp)# exit

R1(config)# crypto isakmp key vpnpa55 address 10.2.2.2

步骤5:在R1上配置IKE阶段2 IPsec策略。

a. 创建名为VPN-SET的转换集,使用esp-aesesp-sha-hmac

R1(config)# crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac

b. 创建名为VPN-MAP的crypto映射,将所有阶段2参数绑定在一起。使用序列号10,并将其标识为ipsec-isakmp映射。

R1(config)# crypto map VPN-MAP 10 ipsec-isakmp

R1(config-crypto-map)# description VPN connection to R3

R1(config-crypto-map)# set peer 10.2.2.2

R1(config-crypto-map)# set transform-set VPN-SET

R1(config-crypto-map)# match address 110

R1(config-crypto-map)# exit

步骤6:配置接口上的crypto映射。

将VPN-MAP crypto映射绑定到Serial 0/0/0出站接口。

R1(config)# interface s0/0/0

R1(config-if)# crypto map VPN-MAP

第二部分:在R3上配置IPsec参数

步骤1:启用安全技术包。

a. 在R3上执行show version命令以验证是否已启用安全技术包许可证信息。

b. 如果尚未启用安全技术包,则启用该包并重新加载R3。

步骤2:配置路由器R3以支持与R1的站点到站点VPN。

在R3上配置相应的参数。配置ACL 110,将来自R3 LAN到R1 LAN的流量标识为"感兴趣"流量。

R3(config)# access-list 110 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

步骤3:在R3上配置IKE阶段1 ISAKMP属性。

在R3上配置crypto ISAKMP策略10 属性以及共享的crypto密钥vpnpa55

R3(config)# crypto isakmp policy 10

R3(config-isakmp)# encryption aes 256

R3(config-isakmp)# authentication pre-share

R3(config-isakmp)# group 5

R3(config-isakmp)# exit

R3(config)# crypto isakmp key vpnpa55 address 10.1.1.2

步骤4:在R3上配置IKE阶段2 IPsec策略。

a. 创建名为VPN-SET的转换集,使用esp-aesesp-sha-hmac

R3(config)# crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac

b. 创建名为VPN-MAP的crypto映射,将所有阶段2参数绑定在一起。使用序列号10,并将其标识为ipsec-isakmp映射。

R3(config)# crypto map VPN-MAP 10 ipsec-isakmp

R3(config-crypto-map)# description VPN connection to R1

R3(config-crypto-map)# set peer 10.1.1.2

R3(config-crypto-map)# set transform-set VPN-SET

R3(config-crypto-map)# match address 110

R3(config-crypto-map)# exit

步骤5:配置接口上的crypto映射。

将VPN-MAP crypto映射绑定到Serial 0/0/1出站接口(注意:此操作不会被评估)。

R3(config)# interface s0/0/1

R3(config-if)# crypto map VPN-MAP

第三部分:验证IPsec VPN

步骤1:在出现感兴趣流量之前验证隧道。

在R1上执行show crypto ipsec sa命令。注意封装、加密、解封装和解密的包数量均设置为0

步骤2:创建感兴趣流量。

从PC-A向PC-C发送ping请求。

步骤3:在产生感兴趣流量后验证隧道。

在R1上重新执行show crypto ipsec sa命令。注意包的数量大于0,这表明IPsec VPN隧道正在工作。

步骤4:创建非感兴趣流量。

从PC-A向PC-B发送ping请求。注:从路由器R1向PC-C或R3向PC-A发送ping请求不属于感兴趣流量。

步骤5:再次验证隧道。

在R1上重新执行show crypto ipsec sa命令。注意包的数量没有改变,这证实了非感兴趣流量并未被加密。

步骤6:检查结果。

您的完成百分比应为100%。点击"Check Results"查看反馈信息以及已完成的必要组件验证。

实验脚本:

R1:

bash 复制代码 
crypto isakmp policy 10
 encr aes 256
 authentication pre-share
 group 5
 
crypto isakmp key vpnpa55 address 10.2.2.2

crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac

access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

crypto map VPN-MAP 10 ipsec-isakmp 
 description VPN connection to R3
 set peer 10.2.2.2
 set transform-set VPN-SET 
 match address 110

interface Serial0/0/0
 crypto map VPN-MAP

R3:

bash 复制代码 
crypto isakmp policy 10
 encr aes 256
 authentication pre-share
 group 5

crypto isakmp key vpnpa55 address 10.1.1.2

crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac

access-list 110 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

crypto map VPN-MAP 10 ipsec-isakmp 
 description VPN connection to R1
 set peer 10.1.1.2
 set transform-set VPN-SET 
 match address 110

interface Serial0/0/1
 crypto map VPN-MAP
相关推荐
寻星探路8 小时前
【深度长文】万字攻克网络原理:从 HTTP 报文解构到 HTTPS 终极加密逻辑
java·开发语言·网络·python·http·ai·https
七夜zippoe11 小时前
CANN Runtime任务描述序列化与持久化源码深度解码
大数据·运维·服务器·cann
盟接之桥11 小时前
盟接之桥说制造:引流品 × 利润品,全球电商平台高效产品组合策略(供讨论)
大数据·linux·服务器·网络·人工智能·制造
会员源码网12 小时前
理财源码开发:单语言深耕还是多语言融合?看完这篇不踩坑
网络·个人开发
米羊12113 小时前
已有安全措施确认(上)
大数据·网络
Fcy64813 小时前
Linux下 进程(一)(冯诺依曼体系、操作系统、进程基本概念与基本操作)
linux·运维·服务器·进程
袁袁袁袁满13 小时前
Linux怎么查看最新下载的文件
linux·运维·服务器
代码游侠13 小时前
学习笔记——设备树基础
linux·运维·开发语言·单片机·算法
主机哥哥13 小时前
阿里云OpenClaw部署全攻略,五种方案助你快速部署!
服务器·阿里云·负载均衡
Harvey90313 小时前
通过 Helm 部署 Nginx 应用的完整标准化步骤
linux·运维·nginx·k8s
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03UV安装并设置国内源04openclaw配置教程(linux+局域网ollama)05OpenClaw Chrome扩展使用教程 - 浏览器中继控制06Linux下V2Ray安装配置指南07AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南08Claude Code Skills 实用使用手册09Vue-skills的中文文档10让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南